云原生计算基金会(CNCF)与 Kusari 宣布达成一项新的合作,旨在加强云原生项目中的软件供应链安全,并使 CNCF 托管的项目可以免费使用 Kusari 提供的基于 AI 的安全工具。这一举措的目的是帮助维护者和贡献者更好地理解和管理日益复杂的依赖项生态系统并保障其安全,而且又不需要具备深厚的安全专业知识。
本次合作的核心在于为 CNCF 项目提供 Kusari Inspector 的使用权限。该工具将人工智能辅助的代码审查与依赖项分析相结合,能够识别直接依赖项和传递依赖项中的风险。随着现代应用程序越来越依赖于成百上千个相互关联的组件,以及 AI 生成代码的日益普及,对整个软件供应链进行可视化既变得更加困难,也变得愈发关键。
该公告突显了云原生生态系统正面临的一个日益严峻的挑战:软件供应链的规模和复杂性都在不断增加,带来了新的攻击面和运营风险。许多依赖项会通过传递关系被自动引入,这使得维护人员难以全面掌握其软件中包含的内容。与此同时,攻击者正越来越多地利用依赖混淆、恶意包注入以及溯源控制漏洞等将这些供应链作为攻击目标。
对于由资源有限的小型团队所维护的开源项目而言,工具碎片化和可见性不足进一步加剧了这种复杂性。即使使用了多种安全工具,团队往往还是无法获得一个统一的情境化供应链风险视图,要想有效地确定漏洞优先级并进行修复,变得更加困难。
Kusari-CNCF 合作方案的核心在于将安全工作“前移”,即直接将其嵌入到开发者工作流中。Kusari Inspector 能在提交拉取请求时提供内联反馈,映射依赖关系,识别溯源和认证中的不足,并在开发生命周期的早期阶段揭示风险。
这种方法体现了整个行业正从被动的安全流程转向与工作流集成的主动安全实践。通过更早地发现问题并提供基于上下文的洞察,该平台旨在减轻维护人员的负担,最大限度地减少人工排查,并实现更快、更安全的软件交付。此外,将可以指导行动的情报直接嵌入到开发流程中,有助于在开发人员与安全团队之间架起一座桥梁。
该方案以云原生和开源安全生态系统中的现有工作为基础,涵盖了 Supply-chain Levels for Software Artifacts(SLSA) 等项目,以及 GUAC 、in-toto 和 OpenVEX 等工具——这些工具目前已开始采用 Kusari Inspector。这些项目致力于提升软件供应链的溯源能力、透明度和可信度,而这些正是现代安全策略的核心支柱。
通过与这些工作相结合,本次合作旨提供一种更加内聚且易于实施的供应链安全解决方案,帮助项目从碎片化的工具使用模式,转向互联互通、覆盖整个生态系统的可视化与治理。
从更宏观的角度来看,与其他致力于提升软件供应链安全性的组织相比,本次合作的举措可谓一脉相承,尽管具体方法和集成程度有所相同。比如,Snyk 和 GitHub(通过 GitHub Advanced Security)强调以开发者为中心的安全工具,将漏洞扫描、依赖项分析以及代码分析直接嵌入到开发者工作流中。这些平台已被广泛采用,并能提供了强大的已知漏洞可视化能力,但它们往往更侧重于检测和修复,而不像 Kusari 的方案这样,针对的是整个生命周期的溯源、认证和信任保障。
在生态系统层面,OpenSSF 和前文提到的 SLSA 等项目采取的做法更注重标准,为构建完整性、溯源和工件验证定义了最佳实践。同样,Sigstore 等工具则侧重于加密签名和验证,为的是确保构建产物的可信度。相比之下,CNCF-Kusari 方案的定位是实现一个集成度更高且更易于访问的层,将 AI 辅助的洞察与供应链可视化相结合,并直接嵌入到开发者工作流中。这反映了行业的一种新兴趋势:从碎片化的、仅针对特定时间点的安全工具,转向统一的、持续运行的供应链安全平台,在易用性与强有力的治理及信任保障之间实现了平衡。
声明:本文为 InfoQ 翻译,未经许可禁止转载。
原文链接:https://www.infoq.com/news/2026/04/cncf-kusari-security/
